Apache 2 et ModSecurity 2 facile !!!

kyzdra

17 juil. 2008 — 2 min read

Qu’est-ce que Apache ?

Non, je ne vous ferais pas le déshonneur de répondre à cette question !!! Un petit lien pour ceux qui ne savent pas, mais c’est tout : ici.

Qu’est-ce que ModSecurity ?

ModSecurity 2 est une extension Apache qui permet d’analyser les requêtes HTTP, et de détecter certaines attaques potentielles sur les applications Web qu’Apache peut héberger ou qu’Apache peut protéger en mode reverse-proxy. En clair, commercialement parlant, c’est un firewall pour les applications Web.

Cette extension est donc une bonne première protection pour les applications Web qui sont toujours potentiellement vulnérables. Le contexte de déploiement et de fonctionnement de l’application Web va jouer sur les paramètres de configuration de l’extension ModSecurity. On peut alors tuner finement les paramètres pour bloquer toute requête jugée illicite vis à vis du serveur Web, mais c’est un travail assez long qui nécessite de bien connaître les applications qui sont protégées.

Nous allons juste voir comment l’installer simplement sur un serveur Debian Etch (Pourquoi Debian, nous le verrons dans un autre billet concernant les distributions Linux et la sécurité) :

Editer le fichier /etc/apt/source.list

deb http://etc.inittab.org/~agi/debian/libapache-mod-security2/etch ./

Installer le package :

apt-get install libapache2-mod-security2

Créer et editez le fichier /etc/apache2/conf.d/mod-security2.conf :

Include mod-security2/*.conf

Ajouter un paquet de règle depuis cette adresse : http://www.modsecurity.org/download/modsecurity-core-rules_2.1-1.4.3.tar.gz

cd /etc/apache2/
mkdir mod-security2
cd mod-security2
wget http://www.modsecurity.org/download/modsecurity-core-rules_2.1-1.4.3.tar.gz
tar -xzf modsecurity-core-rules_2.1-1.4.3.tar.gz
rm modsecurity-core-rules_2.1-1.4.3.tar.gz

Il faut editer le fichier /etc/apache2/mod-security2/modsecurity_crs_10_config.conf, pour faire pointer les fichiers de logs (modsec_audit.log, modsec_debug.log) dans un bon répertoire, comme /var/log/apache2.

Puis recharger Apache2 :

/etc/init.d/apache2 reload

La dernière partie consistera à surfer sur vos sites Web, puis à regarder les logs de ModSecurity, pour désactiver les règles qui empêchent l’accès à ceux-ci.

Il ne faut pas oublier que ModSecurity n’est qu’un moyen préventif contre les intrusions sur les sites Web, et qu’il ne faut pas oublier les règles de base concernant le développement sécurisé, et aussi l’audit sécurité visant à conforter vos choix technique dans le développement de vos applications.

SSTIC 2023 - J3

Analyse statique de code avec Semgrep SemGrep est un outil d’analyse de code source capable de tourner sur n’importe quel langage. Le parsing est basé sur tree-sitter, le parser produit un AST, et l’outil travaille directement sur l’AST. On peut faire du pattern matching et de

SSTIC 2023 - J2

Vulnérabilités dans le protocole RemotePlay Steam est l’application de jeu la plus populaire sur PC, avec une très grosse surface d’attaque. Elle fait l’objet d’un BugBounty sur HackerOne. Le RemotePlay est un protocole non documenté sans rapports de vulns publics. Il permet dans son mode « together

SSTIC 2023 - J1

20 ans de SSTIC ! ça ne nous rajeunit pas… 15 years of oss-security @solardiz L’orateur est l’un des premiers à publier sur le re15 years of oss-security @solardizturn-into-libc et un des contributeurs à John the ripper, et le fondateur de la communauté openwall. Le vulnerability disclosure à fait

Streamer Audio : Volumio

Introduction Aujourd’hui il y a plein de manières de diffuser de la musique dans son salon. La première source à laquelle je pense est très certainement la TV connectée. Les services de musique ont pour la plupart lancé des applications sur les TV connectées. Et cet article peut s’

Read more

SSTIC 2023 - J3

SSTIC 2023 - J2

SSTIC 2023 - J1

Streamer Audio : Volumio